Déployer Accès Web Windows PowerShell

 

S'applique à: Windows Server 2012, Windows Server 2012 R2

Windows PowerShell® Web Access, introduite initialement dans Windows Server® 2012, joue le rôle de passerelle Windows PowerShell en fournissant une console web Windows PowerShell ciblée vers un ordinateur distant. Elle permet aux professionnels de l’informatique d’exécuter des commandes et des scripts Windows PowerShell à partir d’une console Windows PowerShell dans un navigateur Web, sans nécessiter Windows PowerShell, ni de logiciel de gestion à distance ou d’installation d’un plug-in de navigateur sur le périphérique client. Tout ce qui est requis pour exécuter la console Web Windows PowerShell est une passerelle Windows PowerShell Web Access correctement configurée et un navigateur de périphérique client qui prend en charge JavaScript® et accepte les cookies.

Un périphérique client est par exemple un ordinateur portable, un ordinateur personnel non professionnel, une tablette, une borne Web publique, un ordinateur sans système d’exploitation Windows ou encore un navigateur de téléphone portable. Les informaticiens peuvent effectuer des tâches de gestion stratégiques sur des serveurs Windows distants à partir de périphériques ayant accès à une connexion Internet et à un navigateur Web.

Après avoir installé et configuré correctement la passerelle, les utilisateurs peuvent accéder à une console Windows PowerShell à l’aide d’un navigateur Web. Quand les utilisateurs ouvrent le site Web Windows PowerShell Web Access sécurisé, ils peuvent exécuter une console Web Windows PowerShell après une authentification réussie.

L’installation et la configuration de Windows PowerShell Web Access forment un processus en trois étapes :

  1. Installation de Windows PowerShell Web Access

  2. Configuration de la passerelle

  3. Configuration des règles d’autorisation qui permettent aux utilisateurs d’accéder à la console Windows PowerShell basée sur le web

Avant d’installer et de configurer Windows PowerShell Web Access, nous vous recommandons de lire ce guide dans son intégralité, qui inclut des instructions sur la façon d’installer, de sécuriser et de désinstaller Windows PowerShell Web Access. La rubrique Utiliser la console web Windows PowerShell décrit comment les utilisateurs se connectent à la console web, et couvre les limitations et les différences entre la console Windows PowerShell basée sur le web et la console powershell.exe. Les utilisateurs finaux de la console basée sur le web doivent lire Utiliser la console web Windows PowerShell, mais n’ont pas à lire le reste du guide.

La présente rubrique ne fournit pas d’instructions approfondies sur les opérations de serveur Web (IIS), mais décrit uniquement les étapes requises pour configurer la passerelle Windows PowerShell Web Access. Pour plus d’informations sur la configuration et la sécurisation des sites web dans IIS, voir les ressources de documentation IIS dans la section Voir aussi.

Le diagramme suivant illustre le fonctionnement de Windows PowerShell Web Access.

Schéma d'accès Web Windows PowerShell

Dans cette rubrique :

  • Configuration requise pour exécuter Accès Web Windows PowerShell

  • Prise en charge de navigateurs et de périphériques clients

  • Déploiement (rapide) recommandé

  • Déploiement personnalisé

  • Configurer un certificat authentique

Configuration requise pour exécuter Accès Web Windows PowerShell

Windows PowerShell Web Access nécessite l’exécution, sur le serveur sur lequel la passerelle doit s’exécuter, d’un serveur web (IIS), de .NET Framework 4.5 et de Windows PowerShell 3.0 ou Windows PowerShell 4.0. Vous pouvez installer Windows PowerShell Web Access sur un serveur qui exécute Windows Server 2012 R2 ou Windows Server 2012 à l’aide de l’Assistant Ajout de rôles et de fonctionnalités dans le Gestionnaire de serveur ou d’applets de commande de déploiement Windows PowerShell pour le Gestionnaire de serveur. Quand vous installez Windows PowerShell Web Access à l’aide du Gestionnaire de serveur ou de ses applets de commande de déploiement, les rôles et fonctionnalités requis sont automatiquement ajoutés dans le cadre du processus d’installation.

Windows PowerShell Web Access permet aux utilisateurs distants d’accéder aux ordinateurs de votre organisation en utilisant Windows PowerShell dans un navigateur Web. Bien que Windows PowerShell Web Access soit un outil de gestion pratique et puissant, l’accès Web présente des risques de sécurité et doit être configuré de manière aussi sécurisée que possible. Nous recommandons aux administrateurs qui configurent la passerelle Windows PowerShell Web Access d’utiliser les couches de sécurité disponibles, à la fois les règles d’autorisation basées sur des applets de commande incluses avec Windows PowerShell Web Access et les couches de sécurité disponibles dans le serveur Web (IIS) et les applications tierces. Cette documentation contient à la fois des exemples non sécurisés destinés uniquement aux environnements de test et des exemples recommandés pour des déploiements sécurisés.

Prise en charge de navigateurs et de périphériques clients

Windows PowerShell Web Access prend en charge les navigateurs Internet suivants. Bien que les navigateurs mobiles ne soient pas officiellement pris en charge, nombre d’entre eux sont susceptibles de pouvoir exécuter la console Web Windows PowerShell. D’autres navigateurs acceptant les cookies, exécutant JavaScript et exécutant des sites Web HTTPS sont censés fonctionner, mais n’ont pas été testés officiellement.

  • Windows® Internet Explorer® pour Microsoft Windows® 8.0, 9.0, 10.0 et 11.0

  • Mozilla Firefox® 10.0.2

  • Google Chrome™ 17.0.963.56m pour Windows

  • Apple Safari® 5.1.2 pour Windows

  • Apple Safari 5.1.2 pour Mac OS®

  • Windows Phone 7 et 7.5

  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)

  • Apple Safari pour système d’exploitation iPhone 5.0.1

  • Apple Safari pour système d’exploitation iPad 2 5.0.1

Configuration requise des navigateurs

Pour utiliser la console Web Windows PowerShell Web Access, les navigateurs doivent :

  • autoriser les cookies à partir du site Web de la passerelle Windows PowerShell Web Access ;

  • être en mesure d’ouvrir et de lire des pages HTTPS ;

  • ouvrir et exécuter des sites Web qui utilisent JavaScript.

Déploiement (rapide) recommandé

Vous pouvez installer la passerelle Windows PowerShell Web Access sur un serveur qui exécute Windows Server 2012 R2 ou Windows Server 2012 à l’aide des applets de commande Windows PowerShell, ou à l’aide du Assistant Ajout de rôles et de fonctionnalités qui s’ouvre depuis Gestionnaire de serveur. Pour une installation et une configuration rapides, utilisez les applets de commande Windows PowerShell, comme décrit dans cette section.

  • Étape 1 : Installer Windows PowerShell Web Access

  • Étape 2 : Configurer la passerelle

  • Étape 3 : Configurer une règle d’autorisation restrictive

Étape 1 : Installer Windows PowerShell Web Access

Pour installer Accès Web Windows PowerShell à l’aide des applets de commande Windows PowerShell

  1. Procédez de l’une des manières suivantes pour ouvrir une session Windows PowerShell avec des droits d’utilisateur élevés.

    • Sur le Bureau Windows, cliquez avec le bouton droit dans la barre des tâches sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    • Sur l’écran d’accueil de Windows, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    Notes

    Dans Windows PowerShell 3.0 et 4.0, il n’est pas nécessaire d’importer le module d’applet de commande du Gestionnaire de serveur dans la session Windows PowerShell avant d’exécuter des applets de commande qui font partie du module. Un module est automatiquement importé la première fois que vous exécutez une applet de commande qui fait partie du module. En outre, les applets de commande de Windows PowerShell ne respectent pas la casse.

  2. Tapez ce qui suit, puis appuyez sur Entrée, où computer_name représente le nom de l’ordinateur distant sur lequel vous souhaitez installer Windows PowerShell Web Access, le cas échéant. Le paramètre Restart redémarre automatiquement les serveurs de destination, si besoin.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart
    

    Notes

    L’installation de Windows PowerShell Web Access à l’aide d’applets de commande Windows PowerShell ne permet pas d’ajouter les outils de gestion du serveur Web (IIS) par défaut. Si vous voulez installer les outils de gestion sur le même serveur que la passerelle Windows PowerShell Web Access, ajoutez le paramètre IncludeManagementTools à la commande d’installation (comme indiqué dans cette étape). Si vous gérez le site web de Windows PowerShell Web Access à partir d’un ordinateur distant, installez le composant logiciel enfichable Gestionnaire des services Internet en installant les outils d’administration de serveur distant pour Windows 8.1 ou les outils d’administration pour serveur distant pour Windows 8 sur l’ordinateur à partir duquel vous voulez gérer la passerelle.

    Pour installer des rôles et fonctionnalités sur un disque dur virtuel hors connexion, vous devez ajouter les paramètres ComputerName et VHD. Le paramètre ComputerName contient le nom du serveur sur lequel monter le disque dur virtuel tandis que le paramètre VHD contient le chemin d’accès au fichier VHD sur le serveur spécifié.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart
    
  3. Quand l’installation est terminée, vérifiez que Windows PowerShell Web Access a été installé sur les serveurs de destination en exécutant l’applet de commande Get-WindowsFeature sur un serveur de destination, dans une console Windows PowerShell ouverte avec des droits d’utilisateur élevés. Vous pouvez également vérifier que Windows PowerShell Web Access a été installé dans la console Gestionnaire de serveur en sélectionnant un serveur de destination dans la page Tous les serveurs, puis en affichant la vignette Rôles et fonctionnalités du serveur sélectionné. Vous pouvez également consulter le fichier Lisez-moi de Windows PowerShell Web Access.

  4. Une fois que Windows PowerShell Web Access est installé, vous êtes invité à consulter le fichier Lisez-moi dans lequel se trouvent des instructions d’installation requises simples pour la passerelle. Ces instructions d’installation sont également fournies dans la section suivante, Étape 2 : Configurer la passerelle. Le chemin d’accès au fichier Lisez-moi est C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Étape 2 : Configurer la passerelle

L’applet de commande Install-PswaWebApplication constitue un moyen rapide de configurer Windows PowerShell Web Access. Bien que vous puissiez ajouter le paramètre UseTestCertificate à l’applet de commande Install-PswaWebApplication pour installer un certificat SSL auto-signé à des fins de test, cette pratique n’est pas sécurisée ; pour un environnement de production sécurisé, utilisez toujours un certificat SSL valide qui a été signé par une autorité de certification. Les administrateurs peuvent remplacer le certificat de test par le certificat signé de leur choix à l’aide de la console du Gestionnaire des services Internet.

Vous pouvez terminer la configuration de l’application Web de Windows PowerShell Web Access en exécutant l’applet de commande Install-PswaWebApplication ou les étapes de configuration basées sur l’interface graphique utilisateur dans le Gestionnaire des services Internet. Par défaut, l’applet de commande installe l’application Web, pswa (et son pool d’applications, pswa_pool), dans le conteneur Site Web par défaut, comme indiqué dans le Gestionnaire des services Internet ; si vous le voulez, vous pouvez obliger l’applet de commande à modifier le conteneur de site par défaut de l’application Web. Le Gestionnaire des services Internet propose des options de configuration pour les applications Web, telles que la modification du numéro de port ou du certificat SSL (Secure Sockets Layer).

System_CAPS_security Sécurité Remarque

Nous conseillons vivement aux administrateurs de configurer la passerelle de façon à utiliser un certificat valide signé par une autorité de certification.

  • Pour configurer la passerelle Accès Web Windows PowerShell avec un certificat de test à l’aide de Install-PswaWebApplication

  • Pour configurer la passerelle Windows PowerShell Web Access avec un certificat authentique à l’aide de Install-PswaWebApplication et IIS Manager

Pour configurer la passerelle Accès Web Windows PowerShell avec un certificat de test à l’aide de Install-PswaWebApplication

  1. Effectuez l’une des procédures suivantes pour ouvrir une session Windows PowerShell.

    • Sur le Bureau Windows, cliquez avec le bouton droit sur Windows PowerShell dans la barre des tâches.

    • Sur l’écran d’accueil de Windows, cliquez sur Windows PowerShell.

  2. Tapez ce qui suit, puis appuyez sur Entrée.

    Install-PswaWebApplication -UseTestCertificate

    System_CAPS_security Sécurité Remarque

    Le paramètre UseTestCertificate doit uniquement être utilisé dans un environnement de test privé. Pour un environnement de production sécurisé, nous vous recommandons d’utiliser un certificat valide signé par une autorité de certification.

    L’exécution de l’applet de commande permet d’installer l’application Web Windows PowerShell Web Access au sein du conteneur Site Web par défaut. L’applet de commande crée l’infrastructure requise pour exécuter Windows PowerShell Web Access sur le site web par défaut, https://<server_name>/pswa. Pour installer l’application Web dans un autre site Web, indiquez son nom en ajoutant le paramètre WebSiteName. Pour modifier le nom de l’application Web (par défaut, il s’agit de pswa), ajoutez le paramètre WebApplicationName.

    Les paramètres suivants peuvent être configurés en exécutant l’applet de commande. Vous pouvez les modifier manuellement dans la console du Gestionnaire des services Internet, si vous le souhaitez.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Exemple : Install-PswaWebApplication –webApplicationName myWebApp –useTestCertificate

    Dans cet exemple, le site web obtenu pour Windows PowerShell Web Access est https://< server_name>/myWebApp.

    Notes

    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation. Pour plus d'informations, voir Étape 3 : Configurer une règle d’autorisation restrictive et Règles d’autorisation et fonctionnalités de sécurité d’Accès Web Windows PowerShell.

Pour configurer la passerelle Windows PowerShell Web Access avec un certificat authentique à l’aide de Install-PswaWebApplication et IIS Manager

  1. Effectuez l’une des procédures suivantes pour ouvrir une session Windows PowerShell.

    • Sur le Bureau Windows, cliquez avec le bouton droit sur Windows PowerShell dans la barre des tâches.

    • Sur l’écran d’accueil de Windows, cliquez sur Windows PowerShell.

  2. Tapez ce qui suit, puis appuyez sur Entrée.

    Install-PswaWebApplication

    Les paramètres de passerelle suivants peuvent être configurés en exécutant l’applet de commande. Vous pouvez les modifier manuellement dans la console du Gestionnaire des services Internet, si vous le souhaitez. Vous pouvez également spécifier des valeurs pour les paramètres WebsiteName et WebApplicationName de l’applet de commande Install-PswaWebApplication.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Ouvrez la console du Gestionnaire des services Internet en procédant de l’une des manières suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire des services Internet (IIS).

    • Dans l’écran d’accueil de Windows, cliquez sur Gestionnaire de serveur.

  4. Dans le volet de l’arborescence du Gestionnaire des services Internet, développez le nœud du serveur sur lequel Windows PowerShell Web Access est installé jusqu’à ce que le dossier Sites apparaisse. Développez le dossier Sites.

  5. Sélectionnez le site Web dans lequel vous avez installé l’application Web d’Windows PowerShell Web Access. Dans le volet Actions, cliquez sur Liaisons.

  6. Dans la boîte de dialogue Liaisons de site, cliquez sur Ajouter.

  7. Dans la boîte de dialogue Ajouter la liaison de site, dans le champ Type, sélectionnez https.

  8. Dans le champ Certificat SSL, sélectionnez votre certificat signé dans le menu déroulant. Cliquez sur OK. Pour plus d’informations sur l’obtention d’un certificat, voir Pour configurer un certificat SSL dans le Gestionnaire des services Internet dans cette rubrique.

    L’application Web de Windows PowerShell Web Access est à présent configurée pour utiliser votre certificat SSL signé. Vous pouvez accéder à Windows PowerShell Web Access en ouvrant https://<server_name>/pswa dans une fenêtre de navigateur.

    Notes

    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation. Pour plus d'informations, voir Étape 3 : Configurer une règle d’autorisation restrictive et Règles d’autorisation et fonctionnalités de sécurité d’Accès Web Windows PowerShell.

Étape 3 : Configurer une règle d’autorisation restrictive

Une fois Windows PowerShell Web Access installé et la passerelle configurée, les utilisateurs peuvent ouvrir la page de connexion dans un navigateur, mais ils ne peuvent pas se connecter tant que l’administrateur de Windows PowerShell Web Access ne leur a pas octroyé explicitement un accès. Le contrôle d’accès de Windows PowerShell Web Access est géré à l’aide de l’ensemble d’applets de commande Windows PowerShell décrit dans le tableau suivant. Il n’existe aucune interface utilisateur graphique équivalente pour ajouter ou gérer les règles d’autorisation. Pour plus d’informations sur les applets de commande Windows PowerShell Web Access, voir les rubriques de référence des applets de commande, Applets de commande Windows PowerShell Web Access.

Pour plus d’informations sur les règles d’autorisation et sur la sécuritéWindows PowerShell Web Access, voir Règles d’autorisation et fonctionnalités de sécurité d’Accès Web Windows PowerShell.

Pour ajouter une règle d’autorisation restrictive

  1. Procédez de l’une des manières suivantes pour ouvrir une session Windows PowerShell avec des droits d’utilisateur élevés.

    • Sur le Bureau Windows, cliquez avec le bouton droit dans la barre des tâches sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    • Sur l’écran d’accueil de Windows, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

  2. Étape facultative pour restreindre l’accès utilisateur à l’aide de configurations de session : Vérifiez que les configurations de session que vous souhaitez utiliser dans vos règles existent déjà. Si elles n’ont pas encore été créées, utilisez les instructions relatives à la création de configurations de sessions dans about_Session_Configuration_Files sur MSDN.

  3. Tapez ce qui suit, puis appuyez sur Entrée.

    Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
    

    Cette règle d’autorisation accorde à un utilisateur spécifique l’accès à un ordinateur sur le réseau auquel il a généralement accès, avec l’accès à une configuration de session spécifique ayant comme portée les besoins ordinaires de l’utilisateur en matière de script et d’applet de commande. Dans l’exemple suivant, un utilisateur nommé JSmith dans le domaine Contoso se voit accorder un accès pour gérer l’ordinateur Contoso_214 et utiliser une configuration de session nommée NewAdminsOnly.

    Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
    
  4. Vérifiez que la règle a été créée en exécutant l’applet de commande Get-PswaAuthorizationRule ou Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name>. Par exemple, Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

Après avoir configuré une règle d’autorisation, les utilisateurs autorisés peuvent se connecter à la console web et à commencer à utiliser Windows PowerShell Web Access.

Déploiement personnalisé

Vous pouvez installer la passerelle Windows PowerShell Web Access sur un serveur qui exécute Windows Server 2012 R2 ou Windows Server 2012 en utilisant le Assistant Ajout de rôles et de fonctionnalités dans Gestionnaire de serveur. Après avoir installé Windows PowerShell Web Access, vous pouvez personnaliser la configuration de la passerelle dans le Gestionnaire des services Internet.

Étape 1 : Installer Windows PowerShell Web Access

Pour installer Accès Web Windows PowerShell à l’aide de l’Assistant Ajout de rôles et de fonctionnalités

  1. Si le Gestionnaire de serveur est déjà ouvert, passez à l’étape suivante. Si Gestionnaire de serveur n’est pas déjà ouvert, ouvrez-le en effectuant l’une des opérations suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows.

    • Dans l’écran d’accueil de Windows, cliquez sur Gestionnaire de serveur.

  2. Dans le menu Gérer, cliquez sur Ajouter des rôles et fonctionnalités.

  3. Dans la page Sélectionner le type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité. Cliquez sur Suivant.

  4. Dans la page Sélectionner le serveur de destination, sélectionnez un serveur dans le pool de serveurs ou sélectionnez un disque dur virtuel hors connexion. Pour sélectionner un disque dur virtuel hors connexion en guise de serveur de destination, choisissez d’abord le serveur sur lequel monter le disque dur virtuel, puis sélectionnez le fichier VHD. Pour plus d’informations sur la façon d’ajouter des serveurs à un pool de serveurs, voir l’aide du Gestionnaire de serveur. Une fois que vous avez sélectionné le serveur de destination, cliquez sur Suivant.

  5. Dans la page Sélectionner des fonctionnalités de l’Assistant, développez Windows PowerShell, puis sélectionnez Accès Web Windows PowerShell.

  6. Notez que vous êtes invité à ajouter les fonctionnalités requises, telles que le .NET Framework 4.5 et les services de rôle du serveur Web (IIS). Ajoutez les fonctionnalités requises et continuez.

    Notes

    L’installation de Windows PowerShell Web Access à l’aide de l’Assistant Ajout de rôles et de fonctionnalités permet également d’installer le serveur Web (IIS), notamment le composant logiciel enfichable Gestionnaire des services IIS. Le composant logiciel enfichable et d’autres outils de gestion des services IIS sont installés par défaut si vous utilisez l’Assistant Ajout de rôles et de fonctionnalités. Si vous installez Windows PowerShell Web Access à l’aide d’applets de commande Windows PowerShell comme décrit dans la procédure suivante, les outils de gestion ne sont pas ajoutés par défaut.

  7. Dans la page Confirmer les sélections d’installation, si les fichiers de fonctionnalités de Windows PowerShell Web Access ne sont pas enregistrés sur le serveur de destination que vous avez sélectionné à l’étape 4, cliquez sur Spécifier un autre chemin d’accès source, puis indiquez le chemin d’accès aux fichiers de fonctionnalités. Sinon, cliquez sur Installer.

  8. Une fois que vous avez cliqué sur Installer, la page Progression de l’installation affiche la progression de l’installation, les résultats et des messages tels que des avertissements, échecs ou étapes de configuration de post-installation requises pour Windows PowerShell Web Access. Une fois que Windows PowerShell Web Access est installé, vous êtes invité à consulter le fichier Lisez-moi dans lequel se trouvent des instructions d’installation requises simples pour la passerelle. Ces instructions sont également incluses dans la présente rubrique. Le chemin d’accès au fichier Lisez-moi est C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Étape 2 : Configurer la passerelle

Les instructions données dans cette section concernent l’installation de l’application Web de Windows PowerShell Web Access dans un sous-répertoire, et non dans le répertoire racine, de votre site Web. Cette procédure est l’équivalent basé sur l’interface graphique utilisateur des actions effectuées par l’applet de commande Install-PswaWebApplication. Cette section inclut également des instructions sur la manière d’utiliser le Gestionnaire des services Internet pour configurer la passerelle Windows PowerShell Web Access en tant que site Web racine.

  • Pour configurer la passerelle dans un site Web existant à l’aide du Gestionnaire des services Internet

  • Pour configurer la passerelle comme site web racine avec un certificat de test à l’aide du Gestionnaire des services Internet

Pour configurer la passerelle dans un site Web existant à l’aide du Gestionnaire des services Internet

  1. Ouvrez la console du Gestionnaire des services Internet en procédant de l’une des manières suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire des services Internet (IIS).

    • Sur l’écran d’accueil de Windows, tapez une partie du nom Gestionnaire des services Internet (IIS). Cliquez sur le raccourci lorsqu’il s’affiche dans les résultats Applications.

  2. Créez un pool d’applications pour Windows PowerShell Web Access. Développez le nœud du serveur de passerelle dans l’arborescence du Gestionnaire des services Internet, sélectionnez Pools d’applications, puis cliquez sur Ajouter un pool d’applications dans le volet Actions.

  3. Ajoutez un nouveau pool d’applications portant le nom pswa_pool ou indiquez un autre nom. Cliquez sur OK.

  4. Dans le volet de l’arborescence du Gestionnaire des services Internet, développez le nœud du serveur sur lequel Windows PowerShell Web Access est installé jusqu’à ce que le dossier Sites apparaisse. Sélectionnez le dossier Sites.

  5. Cliquez avec le bouton droit sur le site Web (par exemple, Site Web par défaut) auquel vous voulez ajouter le site Web de Windows PowerShell Web Access, puis cliquez sur Ajouter une application.

  6. Dans le champ Alias, tapez pswa ou indiquez un autre alias. L’alias devient le nom du répertoire virtuel. Par exemple, pswa dans l’URL suivante représente l’alias spécifié durant cette étape : https://<server_name>/pswa.

  7. Dans le champ Pool d’applications, sélectionnez le pool d’applications que vous avez créé à l’étape 3.

  8. Dans le champ Chemin d’accès physique, naviguez jusqu’à l’emplacement de l’application. Vous pouvez utiliser l’emplacement par défaut, %windir%/Web/PowerShellWebAccess/wwwroot. Cliquez sur OK.

  9. Suivez les étapes de la procédure Pour configurer un certificat SSL dans le Gestionnaire des services Internet dans cette rubrique.

  10. Étape de sécurité facultative : Avec le site web sélectionné dans l’arborescence, double-cliquez sur Paramètres SSL dans le volet de contenu. Sélectionnez Exiger SSL, puis dans le volet Actions, cliquez sur Appliquer. Dans le volet Paramètres SSL, vous pouvez éventuellement exiger que les utilisateurs qui se connectent au site Web d’Windows PowerShell Web Access possèdent des certificats clients. Ceux-ci aident à vérifier l’identité d’un utilisateur de périphérique client. Pour plus d’informations sur la manière dont l’exigence de certificats clients permet de renforcer la sécurité de Windows PowerShell Web Access, voir Règles d’autorisation et fonctionnalités de sécurité d’Accès Web Windows PowerShell dans cette rubrique.

  11. Ouvrez une session de navigateur sur un périphérique client. Pour plus d’informations sur les navigateurs et les appareils pris en charge, voir Prise en charge de navigateurs et de périphériques clients dans cette rubrique.

  12. Ouvrez le nouveau site web Windows PowerShell Web Access, https://< gateway_server_name>/pswa.

    Le navigateur doit afficher la page de connexion de la console de Windows PowerShell Web Access.

    Notes

    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation.

  13. Dans une session Windows PowerShell qui a été ouverte avec des droits d’utilisateur élevés (Exécuter en tant qu’administrateur), exécutez le script suivant dans lequel nom_pool_applications représente le nom du pool d’applications que vous avez créé à l’étape 3, afin de donner les droits d’accès au pool d’applications dans le fichier d’autorisations.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Pour afficher les droits d’accès existants sur le fichier d’autorisations, exécutez la commande suivante :

    c:\windows\system32\icacls.exe $authorizationFile
    

Pour configurer la passerelle comme site web racine avec un certificat de test à l’aide du Gestionnaire des services Internet

  1. Ouvrez la console du Gestionnaire des services Internet en procédant de l’une des manières suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire des services Internet (IIS).

    • Sur l’écran d’accueil de Windows, tapez une partie du nom Gestionnaire des services Internet (IIS). Cliquez sur le raccourci lorsqu’il s’affiche dans les résultats Applications.

  2. Dans le volet de l’arborescence du Gestionnaire des services Internet, développez le nœud du serveur sur lequel Windows PowerShell Web Access est installé jusqu’à ce que le dossier Sites apparaisse. Sélectionnez le dossier Sites.

  3. Dans le volet Actions, cliquez sur Ajouter un site Web.

  4. Tapez le nom du site Web, comme Accès Web Windows PowerShell.

  5. Un pool d’applications est créé automatiquement pour le nouveau site Web. Pour utiliser un autre pool d’applications, cliquez sur Sélectionner pour sélectionner un pool d’applications à associer au nouveau site Web. Sélectionnez l’autre pool d’applications dans la boîte de dialogue Sélectionner un pool d’applications, puis cliquez sur OK.

  6. Dans la zone de texte Chemin d’accès physique, accédez à %windir%/Web/PowerShellWebAccess/wwwroot.

  7. Dans le champ Type de la zone Liaison, sélectionnez https.

  8. Assignez au site Web un numéro de port qui n’est pas déjà utilisé par un autre site ou une autre application. Pour localiser les ports ouverts, vous pouvez exécuter la commande netstat dans une fenêtre d’invite de commandes. Le numéro de port par défaut est 443.

    Modifiez le port par défaut si un autre site Web utilise déjà le port 443 ou si vous avez d’autres raisons d’ordre sécuritaire. Si un autre site Web qui s’exécute sur votre serveur de passerelle utilise votre port sélectionné, un avertissement s’affiche quand vous cliquez sur OK dans la boîte de dialogue Ajouter un site Web. Vous devez utiliser un port inutilisé pour exécuter Windows PowerShell Web Access.

  9. Selon les besoins de votre organisation, spécifiez éventuellement un nom d’hôte qui a du sens pour votre organisation et ses utilisateurs, comme www.contoso.com. Cliquez sur OK.

  10. Pour un environnement de production plus sécurisé, nous vous recommandons vivement de fournir un certificat valide signé par une autorité de certification. Vous devez fournir un certificat SSL, car les utilisateurs peuvent uniquement se connecter à Windows PowerShell Web Access via un site Web HTTPS. Pour plus d’informations sur l’obtention d’un certificat, voir Pour configurer un certificat SSL dans le Gestionnaire des services Internet dans cette rubrique.

  11. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un site Web.

  12. Dans une session Windows PowerShell qui a été ouverte avec des droits d’utilisateur élevés (Exécuter en tant qu’administrateur), exécutez le script suivant dans lequel application_pool_name représente le nom du pool d’applications que vous avez créé à l’étape 4, afin de donner les droits d’accès au pool d’applications dans le fichier d’autorisations.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Pour afficher les droits d’accès existants sur le fichier d’autorisations, exécutez la commande suivante :

    c:\windows\system32\icacls.exe $authorizationFile
    
  13. Avec le nouveau site Web sélectionné dans le volet de l’arborescence du Gestionnaire des services Internet, cliquez sur Démarrer dans le volet Actions pour démarrer le site Web.

  14. Ouvrez une session de navigateur sur un périphérique client. Pour plus d’informations sur les navigateurs et les appareils pris en charge, voir Prise en charge de navigateurs et de périphériques clients dans ce document.

  15. Ouvrez le nouveau site Web de Windows PowerShell Web Access.

    Étant donné que le site web racine pointe vers le dossier Windows PowerShell Web Access, le navigateur doit afficher la page de connexion de Windows PowerShell Web Access quand vous ouvrez https://< gateway_server_name>. Il n’est pas nécessaire d’ajouter /pswa à l’URL.

    Notes

    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation.

Étape 3 : Configurer une règle d’autorisation restrictive

Une fois Windows PowerShell Web Access installé et la passerelle configurée, les utilisateurs peuvent ouvrir la page de connexion dans un navigateur, mais ils ne peuvent pas se connecter tant que l’administrateur de Windows PowerShell Web Access ne leur a pas octroyé explicitement un accès. Le contrôle d’accès de Windows PowerShell Web Access est géré à l’aide de l’ensemble d’applets de commande Windows PowerShell décrit dans le tableau suivant. Il n’existe aucune interface utilisateur graphique équivalente pour ajouter ou gérer les règles d’autorisation. Pour plus d’informations sur les applets de commande Windows PowerShell Web Access, voir les rubriques de référence des applets de commande, Applets de commande Windows PowerShell Web Access.

Pour plus d’informations sur les règles d’autorisation et sur la sécuritéWindows PowerShell Web Access, voir Règles d’autorisation et fonctionnalités de sécurité d’Accès Web Windows PowerShell.

Pour ajouter une règle d’autorisation restrictive

  1. Procédez de l’une des manières suivantes pour ouvrir une session Windows PowerShell avec des droits d’utilisateur élevés.

    • Sur le Bureau Windows, cliquez avec le bouton droit dans la barre des tâches sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    • Sur l’écran d’accueil de Windows, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

  2. Étape facultative pour restreindre l’accès utilisateur à l’aide de configurations de session : Vérifiez que les configurations de session que vous souhaitez utiliser dans vos règles existent déjà. Si elles n’ont pas encore été créées, utilisez les instructions relatives à la création de configurations de sessions dans about_Session_Configuration_Files sur MSDN.

  3. Tapez ce qui suit, puis appuyez sur Entrée.

    Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
    

    Cette règle d’autorisation accorde à un utilisateur spécifique l’accès à un ordinateur sur le réseau auquel il a généralement accès, avec l’accès à une configuration de session spécifique ayant comme portée les besoins ordinaires de l’utilisateur en matière de script et d’applet de commande. Dans l’exemple suivant, un utilisateur nommé JSmith dans le domaine Contoso se voit accorder un accès pour gérer l’ordinateur Contoso_214 et utiliser une configuration de session nommée NewAdminsOnly.

    Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
    
  4. Vérifiez que la règle a été créée en exécutant l’applet de commande Get-PswaAuthorizationRule ou Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name>. Par exemple, Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

Après avoir configuré une règle d’autorisation, les utilisateurs autorisés peuvent se connecter à la console web et à commencer à utiliser Windows PowerShell Web Access.

Configurer un certificat authentique

Pour un environnement de production sécurisé, utilisez toujours un certificat SSL valide signé par une autorité de certification. La procédure décrite dans cette section détaille comment obtenir et appliquer un certificat SSL valide à partir d’une autorité de certification.

Pour configurer un certificat SSL dans le Gestionnaire des services Internet

  1. Dans le volet de l’arborescence du Gestionnaire des services Internet, sélectionnez le serveur sur lequel Windows PowerShell Web Access est installé.

  2. Dans le volet de contenu, double-cliquez sur Certificats de serveur.

  3. Dans le volet Actions, effectuez l’une des opérations suivantes. Pour plus d’informations sur la configuration des certificats de serveur dans IIS, voir Configuration des certificats de serveur dans IIS 7.

    • Cliquez sur Importer pour importer un certificat existant valide depuis un emplacement sur votre réseau.

    • Cliquez sur Créer une demande de certificat pour demander un certificat auprès d’une autorité de certification comme VeriSign™, Thawte ou GeoTrust®. Le nom courant du certificat doit correspondre à l’en-tête d’hôte dans la demande. Par exemple, si le navigateur client demande https://www.contoso.com/, le nom courant doit également être https://www.contoso.com/. Il s’agit de l’option recommandée la plus sécurisée pour fournir un certificat à la passerelle Windows PowerShell Web Access.

    • Cliquez sur Créer un certificat auto-signé pour créer un certificat que vous pouvez utiliser immédiatement, puis faire signer ultérieurement par une autorité de certification si besoin. Spécifiez un nom convivial pour le certificat auto-signé, comme Accès Web Windows PowerShell. Cette option est considérée comme non sécurisée et recommandée uniquement dans un environnement de test privé.

  4. Après avoir créé ou obtenu un certificat, sélectionnez le site Web auquel il est appliqué (par exemple, le Site Web par défaut) dans le volet de l’arborescence du Gestionnaire des services Internet, puis cliquez sur Liaisons dans le volet Actions.

  5. Dans la boîte de dialogue Ajouter la liaison de site, ajoutez une liaison https pour le site, si aucune n’est déjà affichée. Si vous n’utilisez pas de certificat auto-signé, spécifiez le nom d’hôte de l’étape 3 de cette procédure. Si vous utilisez un certificat auto-signé, vous pouvez ignorer cette étape.

  6. Sélectionnez le certificat que vous avez obtenu ou créé à l’étape 3 de cette procédure, puis cliquez sur OK.

Utilisation de la console Web Windows PowerShell

Une fois que Windows PowerShell Web Access est installé et la configuration de la passerelle terminée comme décrit dans cette rubrique, la console Web Windows PowerShell est prête à être utilisée. Pour plus d’informations sur la prise en main de la console web, voir Utiliser la console web Windows PowerShell.

Voir aussi

Documentation d’Internet Information Services (IIS) 7.0
Aide du Gestionnaire des services Internet 7.0
Configurer la sécurité du serveur Web (IIS 7)
Ressources de déploiement de la sécurité IPsec